0

Anatomía de un ataque a una cuenta privilegiada

El 80% de las brechas de seguridad están relacionadas con cuentas privilegiadas

Casi todos los usuarios son ahora privilegiados y los ciberdelincuentes lo saben. De hecho,están hackeando con éxito empresas y gobiernos de todo el mundo en tan solo cuatro pasos,utilizando las técnicas más comunes y más baratas para explotar la seguridad y usando elmétodo más sigiloso: esconderse dentro de la red y pasar desapercibidos utilizando laspropias soluciones de su víctima para realizar acciones maliciosas.

11

Introducción

Los ciberdelincuentes dirigen sus acciones a laspersonas, buscando formas de manipularlaspara que entreguen información confidencial sinser conscientes de ello. Hacen esto porque es laforma más fácil de acceder a datos valiosos,mediante una técnica conocida como ingenieríasocial. Por lo tanto, no es sorprendente que laspersonas sean consideradas el eslabón másdébil en la ruta de un ataque de seguridadinformática, por lo que debemos capacitar a losempleados para que sean la primera y mejordefensa de la compañía.

Los trabajadores remotos, los proveedoresexternos y los usuarios de negocio, condispositivos tanto corporativos comopersonales, acceden ahora a cuentasprivilegiadas todos los días. Con el pasoacelerado al trabajo remoto, casi todos losusuarios ahora se están convirtiendo enusuarios privilegiados y hay que garantizarles unacceso fácil y seguro. Hoy en día el acceso a lanube plantea amenazas de seguridad cada vezmayores, debido al uso indebido o abuso porparte de ciberdelincuentes y personas internasmalintencionadas. Y es que, a medida que seintroducen mejoras en la forma en que trabajany se comunican los robots industriales, tambiénlo hace su complejidad e interconexión.

Según el Informe Verizon Data BreachInvestigations del año 2020, las brechas en lanube aumentaron al 24%. Entre estas el 77%involucró credenciales de usuariocomprometidas. Y según la firma de seguridadglobal McAfee, más del 27% de lasorganizaciones que utilizan plataforma comoservicio (PaaS) ha experimentado el robo dedatos de su infraestructura en la nube.

Desgraciadamente muchos usuarios de TI noson totalmente conscientes de la criticidad delas cuentas privilegiadas y los riesgos asociadoscon el mal uso. Eso hace que tanto ellos comosus organizaciones sean mucho másvulnerables a posibles daños económicos y dereputación derivados de las crecientesamenazas.

Tanto las cuentas privilegiadas humanas comolas no humanas existen en todos los entornosde TI. Los administradores de TI y los usuariosde negocio las utilizan para automatizar yadministrar datos, aplicaciones y servicios de TIcríticos. Inicialmente estas cuentas seprotegieron dentro de un perímetro definido confirewalls, VPN, etc. Pero actualmente esosperímetros tradicionales han desaparecido, yaque la mayoría de las organizaciones dependenhasta cierto punto de soluciones(infraestructura, aplicaciones, servicios, etc.)basadas en la nube. Las cuentas no asociadas apersonas con privilegios (por ejemplo, lascuentas de servicio) están acelerando ysuperando el crecimiento de las cuentashumanas.

Este documento técnico describe la "Anatomíade un ataque a una cuenta privilegiada". Explicacómo los atacantes externos o los internosmalintencionados pueden explotar lasvulnerabilidades utilizando ejemplos como lacontraseña de una cuenta de correo electrónicocomprometida que se convierte en una violacióntotal de la seguridad de la red.

22

La mayoría de incidentes de seguridad implican credenciales comprometidas

Los analistas de la industria estiman que hastael 80% de todos los incidentes de seguridadimplican credenciales y cuentas privilegiadascomprometidas. Aprender cómo losciberdelincuentes eluden los controles deseguridad y obtienen acceso a los sistemasayuda a las organizaciones a comprender cómopueden convertirse en objetivos. Una buenaconcienciación de los empleados sobre lasúltimas técnicas de piratería ayuda acomprender los riesgos y mitigarlos.

Un gran desafío para muchas organizaciones esque continúan utilizando métodos tradicionalespara identificar y administrar cuentas conprivilegios que aún dependen de tareasmanuales y consumen mucho tiempo, ya que serealizan de forma poco frecuente o de formapuntual. Las organizaciones deben ir más allá yempezar a utilizar soluciones de seguridadprivilegiadas automatizadas. Incluso en losentornos de TI más sofisticados, las cuentasprivilegiadas se administran con demasiadafrecuencia mediante el uso de contraseñascomunes en varios sistemas, el intercambio noautorizado de credenciales y las contraseñaspredeterminadas que nunca se cambian, lo quelas convierte en los principales objetivos de losatacantes.

Una cuenta con privilegios puede serhumana, como una cuenta interactiva deActive Directory, o no humana, como unacuenta de servicio.

Permiten a los profesionales de TIadministrar aplicaciones, software yhardware. Las cuentas privilegiadasproporcionan niveles de accesoadministrativo basados en niveles másaltos de permisos. Algunos tipos decuentas con privilegios no humanos soncuentas de aplicaciones que se utilizanpara ejecutar servicios que requierenpermisos específicos. Al igual que lascuentas de usuario, las cuentasprivilegiadas tienen contraseñas paracontrolar y autorizar el acceso.

El problema con las contraseñas deusuarios débiles y cuentas privilegiadas esque los atacantes tienen herramientaspara descifrarlas. Una vez que obtienen elacceso el daño puede ser catastrófico. Elsecuestro de cuentas privilegiadas lesbrinda la capacidad de acceder ydescargar los datos más confidencialesde una organización, distribuir malware,eludir los controles de seguridadexistentes, borrar los rastros de auditoríapara ocultar su actividad, etc.

QUÉ ES UNA CUENTA PRIVILEGIADA

33

Las cuentas privilegiadas conllevan riesgos especiales

Las cuentas privilegiadas comúnmente sedenominan “Las llaves del reino”, ya que danacceso a datos confidenciales y a los sistemas yredes informáticas. Estas cuentas están entodas partes en el entorno TI y brindan loscomponentes básicos para administrar redes dehardware y software. Sin embargo, son invisiblespara la mayoría de las personas, ya que a vecesoperan en segundo plano, como cuentas deservicios o tareas automatizadas.

Muchos incidentes de seguridad han sidoresultado de contraseñas robadas y/o débilesque han facilitado a los atacantes una puerta deentrada a conseguir acceso a cuentasprivilegiadas. Las cuentas con privilegioscomprometidas les brindan permisos elevadosque les permiten moverse a través de la red y lossistemas de la organización para robar, infectar yeliminar información crítica.

Dado que los atacantes parecen ser usuarioslegítimos de cuentas privilegiadas, pueden llevara cabo actividades maliciosas durante semanaso meses sin ser detectados.

Por lo tanto, comprometer una cuentaprivilegiada puede ser la diferencia entre unasimple violación de la red y una catástrofe.

Cuando un sistema es comprometido, por logeneral, es más fácil mitigar, aislar y erradicar elriesgo y restablecer el control. Cuando se violauna cuenta privilegiada, puede provocar dañosimportantes.

Esto se debe a que cuando una cuentaprivilegiada es pirateada, permite al atacantehacerse pasar por un empleado o sistema deconfianza y llevar a cabo la actividad maliciosasin ser detectado como un intruso. Una vez quelos atacantes ponen en peligro una cuentaprivilegiada, normalmente pueden deambular avoluntad a través de un entorno de TI para robarinformación y causar graves trastornos.

Al describir la anatomía de un ataque a unacuenta privilegiada, mostraremos cómo losciberdelincuentes atacan a sus víctimas, quépueden hacer éstas para reducir su riesgo yprevenir el abuso de sus activos de informacióncrítica.

de las brechas ocurren por ataques intencionados

de las brechas de seguridad están relacionadas con cuentas privilegiadas

45%

80%

44

Anatomía de un ataque a una cuenta privilegiada paso a paso

Típicamente, estos son los 7 pasos que los ciberdelincuentes llevan a cabo paracomprometer una cuenta privilegiada:

Reconocer y enumerar objetivos para crear su digital blueprint

Engañar a los usuarios para que revelen sus credenciales

Explorar el entorno tecnológico con un usuario legítimo

Escalar la capacidad de explotar al acceder a cuentas privilegiadas

Mantener el acceso persistente una vez comprometido el sistema

Ejecutar las actividades maliciosas a voluntad

Cubrir sus pasos para mantenerse indetectable

1.

2.

3.

4.

5.

6.

7.

55

Reconocer y enumerar objetivos para crear su digital blueprint

Cada vez se comparte más y más informaciónacerca de la identidad personal y digital cuandonos conectamos a internet, redes sociales, etc.Esto incluye nombre completo, direcciónparticular, números de teléfono, dirección IP,datos biométricos, detalles de ubicación, fechade nacimiento, lugar de nacimiento e inclusomiembros de la familia.

Cuanta más información se proporcione online,más fácil le resultará a un ciberdelincuenteutilizar esa información personal para dirigirse aun usuario y a su organización.

Los hackers pueden pasar hasta el 90% de sutiempo realizando un reconocimiento de susobjetivos antes de actuar. Eso significadesarrollar un perfil de su objetivo utilizandorecursos online como las redes sociales, Google"Dorking" y otros motores de búsqueda pararecopilar la mayor cantidad de informaciónpersonal posible.

Los atacantes realizan búsquedas tanto en lasweb pública como en la DeepWeb para recopilarinformación sobre una empresa y susempleados. Buscan detalles financieros,archivos de sitios web, tecnologías, socios yproveedores, equipos ejecutivos, organigramas,información de contacto, listas de distribuciónde correo electrónico, plantillas de documentos,formatos de firma, ubicaciones de oficinas,dominios, datos ya exfiltrados y contraseñasrobadas que estén publicadas. Algunos inclusovan, por ejemplo, a restaurantes y locales cercade las oficinas de una empresa donde losempleados podrían usar una red Wi-Fi públicadurante la comida o un descanso. Toda lainformación se puede obtener fácilmente conuna técnica de evaluación pasiva sin tocar elperímetro de seguridad de la empresa.

Los hackers revisan los datos en busca de losmejores objetivos, esperando que produzcan losresultados más rápidos con el menor esfuerzo,identificando los eslabones más débiles de laorganización (empleados o proveedores).Mediante datos personales, formatos de correoelectrónico, plantillas de facturas y controles deseguridad existentes planifican su método deincursión.

66

Engañar a los usuarios para que revelen sus credenciales

Para obtener acceso a la red de una empresa,con frecuencia se comienza dirigiéndose a lascuentas de correo electrónico y redes socialesde los empleados o proveedores externos. Unempleado desprevenido recibe un correoelectrónico de apariencia auténtica de unproveedor externo o, en muchos casos, a travésde un mensaje de redes sociales. Conocidocomo spear phishing, el mensaje urgente‘requiere’ que el empleado haga clic en unhipervínculo y escriba sus credenciales. Una vezenviado, el empleado ha entregado sucontraseña secreta e identidad digital alciberdelincuente, quien luego puede eludir loscontroles de seguridad y hacerse pasar por unempleado de confianza.

También se puede utilizar una víctimasecundaria para obtener acceso. Tomemos elejemplo de un empleado que trae a casa unportátil de la empresa. Su hijo de ocho años usasu dispositivo para jugar en línea y charlar conamigos. De repente, el hijo recibe una nuevasolicitud de amistad de un niño mayor que envíaalgunos enlaces interesantes a nuevos juegos yencuestas divertidas y finalmente envía unenlace a una nueva aplicación.

En lugar de un nuevo amigo, el hacker utiliza alniño de ocho años para obtener acceso a undispositivo desprotegido en la red doméstica.Una vez comprometido, el hacker generalmentepuede acceder a todos los demás dispositivosen casa, explotando las vulnerabilidades y lafalta de controles habilitados para la seguridad.Un simple escaneo de Nmap de una reddoméstica descubre muchas puertas paraobtener acceso rápidamente a múltiplessistemas, incluidos dispositivos inteligentes ocámaras web que les permiten escuchar y ver loque la familia está haciendo en casa.

El objetivo del atacante es obtener acceso alportátil de la empresa del empleado cuandotrabaja desde casa, escanearlo en busca devulnerabilidades, explotarlas, instalar malware yluego esperar a que el empleado regrese atrabajar al día siguiente. El perímetro de laempresa ahora se ha visto comprometido y elciberdelincuente ahora está en la red interna.Cuando el reconocimiento y la enumeración sellevan a cabo de forma cuidadosa y extensa, senecesitan entre 24 y 48 horas para acceder auna red, a menudo a través de una víctimasecundaria desprevenida. En la mayoría de lassituaciones, suele ser un proveedor o contratistaexterno. Una ventaja que tiene el atacante esque los profesionales de la seguridad no tienentiempo ilimitado.

Una vez que el atacante conoce a la víctima yobtiene el acceso a la red de la empresa,normalmente no actúa de inmediato. En lugar depasar directamente al siguiente objetivo, inviertetiempo para recopilar y aprender más sobre elempleado para obtener una mayor visibilidad.

Una vez que los ciberdelincuentes tienenacceso, pueden aprender sobre elcomportamiento del empleado, horarios yoperaciones predecibles. Saben cuándo lavíctima inicia y cierra sesión, qué aplicacionesejecuta, qué se instala, a qué privilegios tieneacceso, cómo y cuándo se implementan lasactualizaciones de software y cuándo serealizan los análisis de seguridad. Conocer loshábitos de la víctima ayuda al ciberdelincuente apasar desapercibido y a comprender cómoeludir los controles de seguridad.

77

Explorar el entorno tecnológico con un usuario legítimo

Una vez dentro del entorno de TI como unusuario confiable, los atacantes realizanreconocimientos y aprenden sobre las rutinasdiarias de los equipos de TI. Esto incluyeobservar los horarios regulares, las medidas deseguridad implementadas y el flujo de tráfico dela red.

Eventualmente, el atacante puede obtener unaimagen precisa de toda la red y sus operaciones.

Observando y registrando estas rutinas losatacantes están listos para el siguiente paso. Enla mayoría de los casos comienzan por buscarvulnerabilidades conocidas del sistema, ya que,a menudo, las empresas confían solo enaplicaciones y sistemas de seguridad orientadosal perímetro, pero estas no suelen ser áreasexplotadas por los hackers.

Los sistemas y aplicaciones que corren mayorriesgo son los que se encuentran en la mismared que el equipo y la identidad digital delusuario comprometido.

Con las credenciales comprometidas, elciberdelincuente puede abrirse camino a travésde la red de la empresa, creando puertastraseras adicionales para el acceso futuro si lavíctima elimina el acceso inicial. Y así, una vezdentro de la red de la empresa, pueden moversesin ser detectados, porque la mayoría de loscontroles se enfocan solo en proteger elperímetro de la red.

Hay muchas formas de elevar los privilegios enlos sistemas, ya sea mediante la explotaciónde servicios, permisos de archivos / carpetas,programador de tareas, credencialesalmacenadas en caché, secuestro de DLL outilizando herramientas como Mimikatz o Johnthe Ripper para secuestrar sesiones o explotarexploits pass-the-hash. La mayoría de losproblemas provienen de organizaciones queutilizan la misma contraseña de administradorlocal en todos los sistemas. Una vez que unadministrador local del sistema se vecomprometido, moverse con la misma cuentaes bastante sencillo.

Como se comentó anteriormente, las cuentasprivilegiadas son el objetivo de losciberdelincuentes debido al acceso ilimitado quebrindan, pasando de una cuenta de usuarionormal a una cuenta privilegiada.Desafortunadamente, algunas empresas hanfacilitado mucho esta tarea al otorgar a lamayoría de los empleados derechos deadministrador local. Este es un paso corto paraobtener acceso completo a toda lainfraestructura de red.

Algunas organizaciones otorgan derechos deadministrador completos para mantener a losusuarios contentos y productivos, aunque nosea necesario. Sin embargo, una vez concedido,el acceso privilegiado se transfiere fácilmente alciberdelincuente para explotar aún más la red.

Escalar la capacidad de explotar al acceder a cuentas privilegiadas

88

Ejecutar las actividades maliciosas a voluntad

Con el acceso establecido y los privilegiosescalados, las acciones que puede realizar elatacante dependen de él mismo y susmotivaciones, desde querer mostrar sushazañas o tratar de llegar al siguiente nivel deaceptación dentro de una comunidad. Para elcrimen organizado ganar dinero es la prioridad,incluso mediante la piratería como servicio. Lapiratería por parte de los estados, que haganado tanta notoriedad, se centra en lasventajas económicas, políticas o de inteligencia.Los grupos terroristas también se hanconvertido en una amenaza significativa, por logeneral, buscan robar, dañar o destruir a unadversario.

La principal motivación es el dinero y losincidentes ocurridos en el pasado comoWannaCry y NotPetya son una muestra de cuánextendidos y lucrativos son este tipo de ataques.

Mediante técnicas avanzadas, por ejemplo, losciberdelincuentes se centran en capturarinformación confidencial para realizartransacciones bursátiles basadas en resultadosfinancieros antes de que se hagan públicas.

Los hackers implementan su plan de ataquemediante el uso de herramientas de resoluciónde problemas o HelpDesk para sistemasoperativos que brindan acceso remoto, shellsremotos o incluso malware que hace llamadas aun servidor de Command & Control en un horariopredefinido, esperando instrucciones de losatacantes.

Las empresas deberían prepararse para seratacadas antes de designar un equipo derespuesta a incidentes y hacer frente a unabrecha de seguridad. La forma en que unaorganización responde a una brecha a menudodeterminará su supervivencia.

Mantener el acceso persistente una vez comprometido el sistema

Mantener el acceso a los sistemas una vez quese han visto comprometidos a través de unacuenta de usuario suele ser relativamente fácil.Los ciberdelincuentes pueden descargarherramientas y utilidades para evitar loscontroles de seguridad existentes. Por ejemplo,un portátil comprometido puede cargarse conestas herramientas durante el Paso 2, lo quefacilita mucho el mantenimiento del acceso,pudiendo además reutilizar las herramientas queencuentren dentro de las organizaciones, comolas de acceso remoto, Python, PowerShell,escáneres de vulnerabilidades, etc.

Los ciberdelincuentes también mantienen elacceso a la red creando nuevas cuentasprivilegiadas, a menudo llamadas cuentas depuerta trasera, porque son un punto de acceso ala red que el equipo de TI no sabe que existe. Opueden cambiar las contraseñas existentes enlas cuentas de servicio o instalar herramientasde acceso remoto que están ocultas detrás delas aplicaciones que utilizan todos los días losempleados. De esta forma, si se descubre yelimina el punto de acceso inicial del atacante,puede dirigirse a una de sus nuevas puertaspara acceder en cualquier momento que lodesee.

99

Cubrir sus pasos para mantenerse indetectable

Eliminar cualquier señal o indicación de que unared ha sido pirateada es el paso final para que elataque sea un éxito. El atacante borra todorastro de la brecha o planifica cómo volver másadelante para llevar a cabo más actividadesmaliciosas. En la mayoría de los casos, losciberdelincuentes cubren su rastro eliminandoarchivos de registro o cualquier actividad que sepueda rastrear para ver cómo obtuvieron accesoinicialmente. Debido a que un ciberdelincuentetiene acceso a cuentas privilegiadas, puedeborrar cualquier rastro de actividad maliciosacon relativa rapidez y facilidad.

Sin embargo, la vida del ciberdelincuente puedevolverse mucho más complicada con loscontroles de seguridad automatizados de unasolución de Gestión de Cuentas Privilegiadas(PAM por sus siglas en inglés) que centralizanlos registros y segregan los permisos de losusuarios.

Solo las cuentas con privilegios individualespueden acceder a esos registros y correlacionarlos datos del registro para identificar lamanipulación o eliminación de registros.

En el mundo hiperconectado de hoy, las organizaciones ya no pueden confiar en el perímetro deseguridad tradicional como su única protección. El ‘perímetro de seguridad’ de próxima generacióndebe centrarse en las soluciones de seguridad de Gestión de Acceso Privilegiado. Eso significasoluciones que controlan cuentas privilegiadas, ya que éstas son la clave para que los hackers elevensu acceso y puedan moverse por la red. Se requieren soluciones que validen la identidad y el accesopermitido para proteger los sistemas y los datos, que pueden estar ubicados en cualquier lugar, y poderacceder a ellos en cualquier momento de manera segura.

Las soluciones de gestión de acceso privilegiado pueden ayudar a una empresa a acelerar la adopciónde nuevas tecnologías y, al mismo tiempo, ayudar a evitar convertirse en una próxima víctima.

Cinco pasos que puede seguir ahora para reducir los riesgos del abuso de acceso privilegiado:

SEGURIDAD DEL ACCESO PRIVILEGIADOES EL NUEVO PERÍMETRO

Descubra más en www.thycotic.com

Educar al personal clave sobre la

gestión de cuentas privilegiadas

1 2 4 53

Descubrir las cuentas

privilegiadas que hay en su empresa

Automatizar la gestión y la

seguridad del acceso privilegiado

Adoptar e implantar políticas de gestión

de acceso privilegiado

Ganar una mayor visibilidad del uso

de acceso privilegiado

1010

El caso de la bombilla inteligente, DUMB WIFIHace unos años realicé una evaluación deriesgos en una empresa de gestión marítima.

Se había ‘mapeado’ la huella digital del objetivo.Ahora todo lo que teníamos que hacer eraacceder. Todos los métodos estaban en juego.Dejamos caer USB en el sitio y visitamos caféslocales para rastrear a los empleados quetrabajan con redes inalámbricas no seguras.Nuestro trabajo consistía en encontrarvulnerabilidades en datos sensibles.

Cuando se trata de reconocimiento como este,es típico común hacer un barrido de radiodefinido por software, donde se buscan puntosde acceso inalámbricos, tanto públicos comoocultos. Encontramos una conexión Wi-Fi ocultay, después de escanearla, vimos que estabaconfigurada en WEP, un protocolo decomunicación antiguo y no seguro. Resulta queuna bombilla LED inteligente lo estaba usandopara comunicarse con una red Wi-Fi deinvitados. Usamos esa bombilla para acceder ala red Wi-Fi mal asegurada, y una vez que seobtuvo la contraseña de Wi-Fi, bueno, se podríadecir que el resto es historia.

Obtuvimos fácil acceso a otros dispositivos enla red, incluida una sala de conferencias parainvitados, donde encontramos un PC malprotegido.

Aparentemente se usaba para hacerpresentaciones.

Encontramos años de presentaciones, desdepresentaciones de proveedores hastainformación financiera. Inmediatamenteexplotamos el equipo, elevando los permisoscon Mimikatz para obtener acceso a las cuentasde administrador local.

Pero no habíamos terminado.

Analizamos continuamente la red de invitadosen busca de nuevos dispositivos, y era solocuestión de tiempo antes de que ocurriera unareunión. Todos los asistentes se unieron a la redWi-Fi para invitados y rápidamente obtuvimosprivilegios de administrador local en todos losdispositivos, porque todas sus credenciales deadministrador local eran las mismas. Accedimosde forma remota a cada dispositivo, instalamosRAT (Remote Access Tool) y, cuando finalizó lareunión, los empleados llevaron sus portátilescomprometidos a la oficina y las conectaron a lared corporativa. En cuestión de minutos,teníamos acceso y control total a toda la red.

Este ataque nos llevó al equipo de hacking éticotres horas desde el momento en que obtuvimosacceso a la red Wi-Fi para invitados hasta latoma de control completa.

APRENDIZAJE: Encuentre sus vulnerabilidades,sepa dónde están sus datos confidenciales,proteja el acceso privilegiado a éstos y proteja yadministre cuentas privilegiadas para que no seconvierta en una víctima. Tenga siempre un plande respuesta a incidentes. La rapidez con la quesu negocio vuelva a estar en funcionamientodespués de un incidente puede determinar susupervivencia y limitará los costes financieros yel daño a la reputación.

• Compañía:

Compañía de Gestión Marítima

• Evaluado por:

Joseph Carson, CISSP, CSPO, CSP

• Antecedentes:

Reconocimos y analizamos la huella digital de la compañía. ¿Siguiente paso? Ganar acceso. Todo fue un juego.

HISTORIA REAL:

1111

El caso de la hoja de cálculo TODOPODEROSAFui contratado por una central eléctrica. Erarelativamente nueva, totalmente automatizadacon controles remotos y querían que revisara loscontroles y sus protecciones en materia deciberseguridad.

La seguridad física fue impresionante. El sistemade seguridad podía decir cuándo los visitantesestaban a cinco minutos de distancia, quévehículo conducían y cuántas personas habíadentro. Si los visitantes llegaban un minuto anteso después, tendrían que lidiar con el equipo deseguridad armada.

Todas las puertas físicas tenían controles deacceso, incluidas las salas de máquinas. Una vezdentro, cada motor tenía sus propias válvulas decontrol para cambiar físicamente la presión y elflujo de agua. Las válvulas de control no estabanaseguradas, aunque el riesgo de manipulaciónera bajo. Los controladores PLC y los sistemasde control SCADA contaban con la másavanzada protección contra amenazas.Invirtieron millones para prevenir ataques deciberseguridad. Se habían construido unafortaleza física y cibernética.

El Departamento de Energía de EE. UU. fuehackeado con éxito 159 veces en cuatro años.

Entonces sucedió. Sentado en la mesa junto alos controles había una página impresa.Contenía todas las direcciones IP, nombres deusuario y contraseñas de cada estación decontrol. No se habían cambiado en más decuatro años y probablemente el fabricante loshabía instalado con las credencialespredeterminadas.

Un ciberataque al sector energético de Ucraniaprovocó un apagón en 86.000 hogares.

Cualquiera podría haber hecho copias de estalista y podría haber tomado una foto con unteléfono y haberse tomado su tiempo antes deempezar el ataque. Ellos nunca lo habrían vistovenir.

El 62% de los ataques provienen de credencialesprivilegiadas comprometidas, y el 80% de loshackers dicen que somos las personas lasprincipales responsables de las infracciones deseguridad.

APRENDIZAJE: Proteja sus cuentasprivilegiadas con una solución de Gestión deCuentas Privilegiadas (PAM) que controle elacceso, automatice la rotación de contraseñas ydescubra y proteja automáticamente nuevascuentas.

• Compañía:

Central Energética

• Evaluado por:

Joseph Carson, CISSP, CSPO, CSP

• Antecedentes:

Sabían que la seguridad era fundamental para proporcionar energía continua y se construyeron una fortaleza. Pero...

HISTORIA REAL:

1212

Las cuentas privilegiadas se denominan "Lasllaves del reino" porque brindan acceso a datosconfidenciales y sensibles en los sistemas yredes de la empresa. Las cuentas privilegiadasestán en todas partes en el entorno de TI.Brindan la posibilidad de administrar vastasredes de hardware y software que impulsannuestro negocio dentro de un mundo conectadoa Internet e impulsado por la información. Sinembargo, son invisibles para la mayoría de laspersonas.

Desde Ibermática brindamos servicios expertosde ciberseguridad centrados en maximizar laseguridad y la privacidad en entornoscorporativos.

Nuestro SOC (Centro de Operaciones deSeguridad) ofrece los recursos y las habilidadesnecesarias para hacer frente a las amenazas deforma inmediata.

Cómo proteger las cuentas privilegiadas

360º

ENS

ISO27001

RGPD

PCIDSS

ISO20000

LEYPIC

1313

Ibermática/digital, ayudamos a nuestros clientes a mejorar su eficiencia, su capacidad de innovación y sus ingresos en la era digital.

PERSONA DE CONTACTO

Álvaro Fraile

Director Centro de Excelencia en Ciberseguridad en Ibermática

Correo electrónico: marketing@ibermatica.com

Teléfono / Móvil: 902413500 / 913849100

ITS by Ibermática es especialista en la protección preventivaautomatizada contra todo tipo de ciberataques, cuenta con laacreditación oficial Computer Emergency Response Team(CERT), concedida por la Universidad Carnegie-Mellon desde1988 a centros de operaciones de todo el mundo especializadosen la respuesta ante incidentes de seguridad en Internet, yparticipa en foros y asociaciones de ámbito internacional.

NUESTROS SERVICIOS DE CIBERSEGURIDAD 360º

CiD360

SOC MANAGEDSECURITYSERVICES

OFFENSIVESECURITYSERVICES

INDUSTRIALCYBERSECURITY

GOVERNANCE,RISK &

COMPLIANCE

CYBERSECURITYTRAININGSERVICES

Servicios de Seguridad

Gestionada (SOC)

Formación especializada

a medida

Proteccióna Sistemas de

Control Industrial (ICS)

Mejora laciber-resiliencia

Consultoría de adaptación e implantación